Managed File Transfer redes de TI, OT e DMZ

A transferência de ficheiros entre as redes de TI e OT através de uma DMZ industrial torna-se um problema de segurança e de operações, uma vez que a troca de ficheiros operacionais tem de atravessar as fronteiras de segmentação que existem para reduzir o risco cibernético. Industrial continuam a necessitar que patches, receitas, registos, entregas de fornecedores, cópias de segurança e relatórios sejam transferidos entre zonas de acordo com horários previsíveis.

Canais pontuais, como e-mail, unidades partilhadas, servidores intermediários e suportes removíveis, aumentam a exposição a malware transmitido por ficheiros e reduzem a rastreabilidade. Os fluxos de trabalho Industrial (IDMZ) também exigem provas de auditoria, alinhamento do controlo de alterações e aplicação consistente em todas as instalações, para evitar exceções pontuais.

Entre os casos de utilização mais comuns da transferência de ficheiros entre TI e OT contam-se os pacotes de trabalho de engenharia, as atualizações de PLC e IHM, os extratos do sistema de registo histórico, as atualizações de assinaturas antivírus, as cópias de segurança e os pacotes de firmware dos fornecedores. Os artefactos de engenharia e as atualizações de firmware exigem, normalmente, provas mais rigorosas da cadeia de custódia do que os relatórios de rotina ou as exportações periódicas de registos.

Os fluxos periódicos incluem normalmente cópias de segurança programadas, atualizações de antivírus e envios de relatórios padrão. Os fluxos urgentes incluem normalmente correções de emergência de firmware, extração de dados para resposta a incidentes ou alterações de receitas que exigem uma resposta rápida. Os requisitos relativos à cadeia de custódia tornam-se mais rigorosos quando os ficheiros podem alterar comportamentos críticos para a segurança ou afetar significativamente a qualidade da produção.

Um modelo tradicional de DMZ empresarial não se adapta perfeitamente à OT, uma vez que uma DMZ voltada para a Internet serve principalmente para mediar o acesso externo, enquanto uma DMZ industrial se destina principalmente a garantir operações determinísticas, um controlo rigoroso das alterações e a proteção de processos críticos para a segurança. O objetivo da segmentação de Nível 3.5 da Purdue é restringir as vias de acesso à OT e reduzir a confiança implícita entre zonas. 

O risco associado aos ficheiros é amplificado na OT, uma vez que os sistemas legados, as janelas de aplicação de correções limitadas e as restrições de disponibilidade reduzem a margem de manobra para medidas corretivas reativas. Industrial exigem também percursos de transferência previsíveis e aprovações repetíveis que possam ser auditadas sem a criação de sessões diretas entre TI e OT. 

O facto de todas as ligações terminarem na DMZ significa que as transferências de ficheiros entre TI e OT devem evitar sessões diretas de ponta a ponta entre terminais empresariais e terminais OT que atravessem a fronteira de confiança. O facto de todas as ligações terminarem na DMZ significa também que os projetos devem evitar servidores com ligação dupla que liguem zonas e evitar regras de firewall que permitam ligações de clientes entre zonas.

Este princípio traduz-se em restrições justificáveis: os sistemas de TI comunicam apenas com os serviços da DMZ, os sistemas OT comunicam apenas com os serviços da DMZ e a transferência de ficheiros ocorre através de fluxos de trabalho de armazenamento e reenvio mediados. Os pontos de terminação na DMZ industrial tornam-se pontos de controlo para inspeção, quarentena, aprovações e registo de auditorias.

Para impedir sessões diretas entre TI e OT sem comprometer a automação, são necessários padrões de transferência mediada, nos quais o remetente se liga apenas a serviços de transferência residentes na DMZ e o destinatário OT se liga apenas a serviços de recuperação residentes na DMZ. A transferência de ficheiros mediada recorre normalmente a uma etapa de envio para a DMZ, seguida de uma etapa de receção na OT, de modo a que não existam sessões entre zonas.

A exposição das portas mantém-se mínima através da utilização de portas fixas, listas de permissão rigorosas e identidades de serviço delimitadas por fluxo de trabalho. As contas de serviço específicas para cada fluxo de trabalho reduzem o risco de movimentação lateral e facilitam a recertificação das regras de acesso durante as revisões periódicas.

A configuração de duas placas de rede e o armazenamento partilhado criam pontes acidentais entre zonas, uma vez que um anfitrião com duas placas de rede pode tornar-se um ponto de encaminhamento ou de credenciais entre os limites da segmentação. As partilhas de ficheiros SMB e as credenciais replicadas também podem comprometer o objetivo da segmentação, ao permitirem caminhos de acesso implícitos entre zonas que são difíceis de identificar e recertificar.

Entre os padrões a evitar incluem-se servidores de ficheiros com ligação dupla que interagem simultaneamente com as redes de TI e OT, pastas SMB partilhadas utilizadas como pontos de «transferência» entre zonas e a transferência de ficheiros através de servidores intermediários que contornam os pontos de inspeção. A aplicação das restrições depende da terminação, da inspeção e da autorização explícita, em vez de vias de conveniência.

Uma arquitetura de DMZ industrial de Nível 3.5 da Purdue para a transferência de ficheiros posiciona a IDMZ como a fronteira de inspeção e aplicação de políticas entre as redes de TI e OT da empresa. Uma arquitetura de DMZ industrial de Nível 3.5 da Purdue também garante que os terminais de TI e OT se integrem aos serviços da DMZ, em vez de se integrarem entre si.

Os serviços mínimos da DMZ incluem normalmente um gateway de transferência de ficheiros ou um servidor de transferência de ficheiros gerido, armazenamento em quarentena, níveis de inspeção e registo centralizado. O comportamento de armazenamento e reenvio mediado permite operações determinísticas, mantendo intacta a intenção de segmentação.

Os serviços que devem ser integrados na DMZ industrial para a troca segura de ficheiros incluem um gateway de transferência de ficheiros ou um servidor de transferência de ficheiros gerido, camadas de análise de malware e sandboxing, camadas de desarmamento e reconstrução de conteúdos (CDR), armazenamento em quarentena e recolha centralizada de registos. Os serviços Industrial incluem também componentes de fluxo de trabalho e de aplicação de políticas que controlam a aprovação e a libertação.

Os terminais de TI devem enviar ficheiros para as zonas de entrega da DMZ, e os terminais de OT devem recuperar pacotes aprovados a partir dos locais de preparação da DMZ. A fronteira da DMZ torna-se o ponto de inspeção consistente para a verificação de malware, a sanitização, a avaliação de políticas e o registo da cadeia de custódia.

O modelo de firewall e encaminhamento numa arquitetura com intermediário utiliza normalmente uma arquitetura IDMZ com firewall duplo, na qual o tráfego entre a empresa e a DMZ e o tráfego entre a OT e a DMZ são controlados separadamente. As listas de permissão aplicam-se à origem, ao destino, ao protocolo e à identidade do serviço, de modo a que cada fluxo de trabalho tenha um percurso explícito e passível de revisão.

Um número reduzido de fluxos bem definidos diminui a complexidade da firewall, em comparação com inúmeros percursos personalizados. As arquiteturas mediadas também suportam portas fixas e pontos finais de serviço consistentes, o que simplifica a recertificação das regras e reduz a probabilidade de que regras abrangentes se expandam ao longo do tempo.

O fluxo de trabalho que consiste em enviar dados para a DMZ e, em seguida, transferi-los para a OT funciona, na prática, como uma sequência repetível: importação, quarentena, inspeção, limpeza, aprovação, libertação e entrega. Este fluxo de trabalho também preserva a segmentação, uma vez que ambos os lados se ligam apenas aos serviços da DMZ.

O método «push» é normalmente adequado quando os sistemas de TI geram pacotes, enquanto o método «pull» é normalmente adequado quando os sistemas de OT recuperam conteúdos aprovados em intervalos de tempo controlados. Um fluxo de trabalho padrão torna-se aplicável em várias fábricas quando as convenções de nomenclatura, a captura de metadados e as decisões relativas às políticas são consistentes em cada fluxo.

Os padrões de envio de dados da TI para a DMZ mantêm a fronteira da OT fechada, limitando a conectividade dos remetentes da TI aos serviços de ingestão da DMZ e às zonas de entrega da DMZ. Os padrões mais comuns incluem uploads programados, uploads acionados por eventos e envios API que anexam os metadados necessários para a tomada de decisões de política e para provas de auditoria.

As orientações operacionais incluem convenções de nomenclatura consistentes, campos de metadados obrigatórios para o sistema de origem e a zona de destino pretendida, bem como a encriptação em trânsito através do TLS. O envio pelo departamento de TI deve também incluir a vinculação de identidade, para que a DMZ possa registar qual o utilizador ou serviço que iniciou a transferência.

Os padrões de transferência da DMZ para a OT reduzem o risco e simplificam as firewalls, permitindo que os agentes de recuperação da OT ou tarefas agendadas iniciem ligações de saída da OT para a DMZ apenas para obter pacotes aprovados. A recuperação da OT deve ser limitada a filas ou diretórios específicos do destino, para que os terminais da OT não possam aceder a conteúdos em quarentena não aprovados.

O Pull reduz a exposição ao evitar ligações de entrada na OT e ao limitar as portas e os serviços voltados para a OT. A recuperação da OT também suporta janelas de alteração, uma vez que os sistemas OT só podem efetuar a recuperação quando os horários operacionais permitem a instalação ou a preparação.

Os controlos obrigatórios para a transferência de ficheiros na DMZ industrial incluem a inspeção, a sanitização, a quarentena, as aprovações, o acesso com privilégios mínimos, a encriptação e o registo de auditoria que apoia a cadeia de custódia. Os controlos obrigatórios devem ser aplicados principalmente na DMZ, uma vez que esta constitui o ponto final e o limite da política para a movimentação de ficheiros entre zonas.

Endpoint e os controlos de destino continuam a ser relevantes, mas a DMZ deve funcionar como um ponto de inspeção consistente que impeça comportamentos de contorno. Cada controlo deve estar associado a uma fase do fluxo de trabalho, para que as equipas operacionais possam prever os resultados e as equipas de segurança possam verificar as provas.

A verificação de malware na DMZ sem depender de um único motor requer uma verificação múltipla e uma deteção em camadas, para que as ameaças conhecidas e emergentes tenham uma maior cobertura de deteção. Os resultados da verificação com vários motores devem produzir resultados claros, como «aprovado», «reprovado» e «desconhecido», para que os fluxos de trabalho se mantenham determinísticos.

Os resultados com falha devem permanecer em quarentena, com percursos de escalonamento. Os resultados desconhecidos devem permanecer em quarentena enquanto se aguarda uma análise adicional, como testes em ambiente de simulação ou políticas de inspeção mais aprofundadas. A política da DMZ deve definir prazos, etapas de revisão por analistas e regras de liberação, para que a quarentena não se transforme num acúmulo descontrolado.

A desativação e reconstrução de conteúdos (CDR) supera as abordagens baseadas exclusivamente na deteção quando é necessária uma limpeza com prioridade na prevenção para remover conteúdos ativos, mesmo quando a deteção de malware indica que os resultados estão limpos. A CDR reduz o risco ao reconstruir ficheiros para preservar a usabilidade empresarial, removendo simultaneamente componentes ativos, tais como macros ou objetos incorporados, consoante a política definida.

Os tipos de ficheiros que frequentemente beneficiam da sanitização incluem documentos de escritório, PDFs e arquivos que podem conter scripts ou cargas úteis incorporadas. As políticas que dão prioridade à sanitização também reduzem a dependência da cobertura de assinaturas e diminuem a exposição operacional a documentos «limpos, mas armados» que entram na OT.

Sandbox para transferências de alto risco ou de grande impacto incorpora uma análise dinâmica para detetar comportamentos que a verificação estática pode não identificar. Sandbox devem basear-se no tipo de ficheiro, no nível de confiança da fonte, na criticidade do destino e nos padrões históricos de ameaças observados no ambiente.

Sandbox devem servir de base para as decisões políticas, com prazos explícitos, para que as operações possam prever eventuais atrasos. A política da DMZ deve definir como os resultados da sandbox se traduzem em períodos de retenção em quarentena, requisitos de revisão por analistas e procedimentos de escalonamento para cenários de manutenção urgentes.

A prevenção da perda de dados (DLP) para a transferência de ficheiros entre zonas deve aplicar controlos proativos, tais como a correspondência de palavras-chave e padrões, o tratamento da classificação e as restrições de destino. A aplicação da DLP deve estar em conformidade com as políticas por fluxo, para que os dados confidenciais não sejam transferidos para zonas ou destinos não autorizados.

O risco de bloqueio excessivo deve ser gerido através de uma aplicação gradual e de listas de permissões específicas para cada fluxo, que reflitam as necessidades operacionais. Os campos de registo devem registar as regras de DLP aplicadas, os resultados das correspondências e os resultados da resolução, para que os relatórios de conformidade possam comprovar um tratamento coerente.

O princípio do privilégio mínimo e as aprovações para a transferência de ficheiros entre zonas exigem um controlo de acesso baseado em funções, a separação de funções e um acesso limitado no tempo, alinhado com as janelas de alteração e as restrições de interrupção do serviço. As políticas de privilégio mínimo devem impedir a utilização de contas partilhadas e definir as permissões de acordo com o fluxo de trabalho, o destino e o tipo de ficheiro.

Os modelos de aprovação devem ser aplicáveis em todas as instalações, recorrendo a funções uniformes, a um registo consistente de evidências e à automatização dos fluxos de baixo risco. A governança deve também definir procedimentos de emergência com requisitos explícitos de registo e revisão pós-evento.

O controlo de acesso baseado em funções (RBAC) para os intermediários de ficheiros de TI, OT e DMZ separa as funções em papéis como remetente, revisor, responsável pela publicação e responsável pela recuperação de OT. O RBAC deve garantir que um remetente não possa publicar unilateralmente conteúdos na OT e que um responsável pela recuperação de OT não possa aceder a conteúdos em quarentena.

A integração de identidades com fornecedores de identidades existentes pode reduzir a carga administrativa, mas os riscos de identidade em OT devem continuar a ser controlados através da definição do âmbito, da segmentação e do princípio do privilégio mínimo. As contas de serviço devem ser únicas para cada fluxo de trabalho, de modo a facilitar a auditoria e a impedir a reutilização de privilégios em transferências não relacionadas.

O acesso temporário para fornecedores e situações de emergência deve recorrer a credenciais com prazo de validade, permissões de duração limitada e acesso com âmbito restrito por fluxo de trabalho. O acesso temporário reduz a exposição prolongada e alinha os períodos de acesso com os calendários de manutenção e os prazos de aprovação de alterações.

Os requisitos de registo devem incluir quem solicitou o acesso, quem o aprovou, qual o âmbito concedido e quais os ficheiros que foram transferidos ao abrigo da política com prazo definido. As medidas de emergência devem gerar um conjunto de provas explícito para análise, a fim de garantir a responsabilização em situações de emergência.

O registo de auditoria para a transferência de ficheiros entre as redes IT, OT e DMZ, em conformidade com os requisitos de conformidade, deve fornecer provas da cadeia de custódia de ponta a ponta entre as redes IT, DMZ e OT, sem depender da criação manual de tickets. O registo de auditoria deve apoiar investigações, relatórios de conformidade e resolução de problemas operacionais, com identificadores consistentes em todas as fases do fluxo de trabalho.

As provas da cadeia de custódia devem incluir quem enviou um ficheiro, que inspeção e higienização foram realizadas, quem aprovou a libertação e se a entrega foi confirmada. O registo centrado na DMZ reduz a dependência da visibilidade dos terminais OT e preserva a segmentação.

Os campos mínimos do registo que comprovam quem enviou que ficheiro e para onde foi enviado incluem a identidade do utilizador e a identidade do serviço, a zona de origem e a zona de destino, os nomes dos ficheiros, os hash dos ficheiros (como o SHA-256), os registos de data e hora para cada fase do fluxo de trabalho, a política aplicada, os resultados da inspeção e da sanitização, os registos de aprovação e a confirmação de entrega. Os identificadores de correlação devem estabelecer uma ligação entre os eventos de receção, quarentena, inspeção, libertação e entrega.

Campos de registo consistentes permitem a rastreabilidade em implementações com vários locais. O hash garante a não repudiação e facilita a resposta a incidentes, comprovando a integridade dos ficheiros ao longo do percurso de transferência.

A monitorização operacional e os alertas devem ser gerados a partir dos registos de auditoria, utilizando condições de alerta como falhas repetidas, violações de políticas, tipos de ficheiros invulgares, volumes de transferência anómalos e disposições desconhecidas repetidas por parte dos motores de inspeção. Os painéis operacionais devem monitorizar o débito, o volume de trabalho em atraso na quarentena e as taxas de confirmação de entrega, a fim de garantir a fiabilidade.

A integração SIEM permite a correlação de dados de segurança, enquanto os painéis operacionais permitem monitorizar o estado dos serviços e garantir a previsibilidade dos fluxos de trabalho. Os limiares de alerta devem ser ajustados por fluxo, de modo a que os destinos críticos gerem uma escalada mais rápida do que as entregas de relatórios de baixa criticidade.

A transferência de ficheiros gerida, em comparação com um servidor SFTP autónomo numa DMZ de OT, difere principalmente em termos de governação, integração de inspeção e auditabilidade, e não tanto no suporte a protocolos. A transferência de ficheiros gerida proporciona um plano de controlo para redes segmentadas, orquestrando políticas por fluxo, aplicando quarentena e aprovações e centralizando a recolha de provas.

O SFTP autónomo torna-se frequentemente um ponto final de transporte que depende de processos externos para a verificação, aprovação e geração de relatórios. As implementações Industrial requerem normalmente pontos de controlo consistentes que se mantenham fiáveis à escala de múltiplas instalações.

O SFTP autónomo na DMZ costuma falhar durante o horário de expediente devido a aprovações manuais, análises de malware inconsistentes, contas partilhadas, captura limitada de metadados e registos fragmentados por vários sistemas. As etapas manuais também aumentam a probabilidade de comportamentos de contorno, especialmente durante janelas de manutenção urgentes.

A escala multissítio acentua as lacunas, uma vez que cada local tende a implementar controlos de análise, retenção e acesso ligeiramente diferentes. A fragmentação das provas também atrasa as investigações, pois a comprovação da cadeia de custódia exige uma correlação manual entre registos e sistemas de gestão de tickets díspares.

A transferência gerida de ficheiros com reconhecimento de limites deve proporcionar a coordenação de políticas por fluxo, controlos de quarentena e libertação, segurança integrada de ficheiros em várias camadas e visibilidade centralizada entre zonas. A transferência gerida de ficheiros com reconhecimento de limites deve também suportar níveis de inspeção que incluam verificação múltipla, CDR, análise em sandbox e aplicação de DLP no percurso da transferência.

OPSWAT MetaDefender File Transfer™ (MFT) pode servir de exemplo de uma plataforma de transferência de ficheiros gerida que privilegia a segurança e que inclui o Metascan™ Multiscanning, a tecnologia Deep CDR™, o Proactive DLP™ e a análise em sandbox num fluxo de trabalho unificado. A governança centralizada permite uma aplicação consistente das políticas em ambientes de TI, IDMZ e OT.

A comparação entre a sanitização de ficheiros CDR e a verificação antivírus de ficheiros que entram no OT representa uma distinção entre a reconstrução com prioridade na prevenção e a identificação com prioridade na deteção de conteúdos maliciosos. Os controlos em camadas reduzem o risco decorrente de ameaças desconhecidas e geradas por IA, combinando a verificação com vários motores, a sanitização de formatos de alto risco e a análise opcional em sandbox para casos suspeitos.

Os critérios de seleção devem adequar o tipo de ficheiro e a importância do destino ao nível de controlo. As políticas devem definir quais os tipos de ficheiro que requerem limpeza por predefinição e quais os tipos de ficheiro que podem permanecer apenas em modo de verificação, com gatilhos de escalonamento.

A verificação antivírus pode comprovar que um motor de verificação não detetou conteúdo malicioso conhecido com base nas assinaturas e heurísticas disponíveis no momento da verificação, mas não pode garantir que um ficheiro seja seguro para utilização em redes OT. Os falsos negativos e as novas ameaças continuam a ser operacionalmente significativos em ambientes críticos.

Os casos considerados «limpos», mas suspeitos, devem permanecer em quarentena enquanto se aguarda uma análise em várias etapas, incluindo análises múltiplas, execução em ambiente de teste ou políticas de limpeza. A conceção do fluxo de trabalho deve garantir que os resultados «limpos» continuem a registar provas e a servir de base para investigações posteriores, caso ocorram anomalias operacionais.

A higienização com a tecnologia Deep CDR™ é a opção padrão mais segura quando é necessário reduzir o risco de conteúdos ativos, mesmo quando os resultados da deteção indicam que o conteúdo está limpo. A higienização reduz o risco ao remover ou neutralizar elementos ativos, mantendo simultaneamente o conteúdo utilizável para as necessidades operacionais.

Entre os exemplos de políticas incluem-se a sanitização por predefinição de documentos de escritório e ficheiros PDF que entram em áreas de preparação de OT de alta criticidade, um tratamento mais rigoroso de arquivos aninhados e um tratamento controlado de artefactos de engenharia com base na criticidade do destino. As políticas de sanitização devem registar as transformações realizadas, a fim de preservar as provas da cadeia de custódia.

A escolha entre um diodo de dados e uma DMZ com firewall duplo para a transferência de ficheiros OT representa uma decisão de conceção entre a imposição unidirecional e fluxos de trabalho bidirecionais controlados que continuam a terminar na DMZ. As configurações com diodo de dados impõem a direcionalidade por definição, enquanto as configurações com DMZ e firewall duplo impõem a direcionalidade através de políticas e listas de permissão.

A aplicação unidirecional altera as expectativas em relação ao fluxo de trabalho, uma vez que as confirmações e a resolução interativa de problemas ficam limitadas. A transferência bidirecional controlada pode continuar a ser justificável quando os casos de utilização exigem bidirecionalidade e os controlos compensatórios permanecem explícitos e auditáveis.

É necessário um diodo de dados para as transferências de OT para IT quando a tolerância ao risco, a regulamentação ou os ambientes de alto risco exigem telemetria estritamente unidirecional e a redução da superfície de ataque. Os casos de utilização do diodo de dados incluem, normalmente, a monitorização unidirecional, a replicação de registos históricos para o exterior ou ambientes regulamentados que restringem quaisquer vias de entrada para a OT.

As desvantagens operacionais incluem uma capacidade reduzida de confirmar a receção através de confirmações interativas e uma capacidade reduzida de resolver problemas em tempo real. A conceção do fluxo de trabalho deve incluir métodos alternativos de comprovação, tais como a confirmação de entrega no lado da DMZ e registos imutáveis.

A utilização de duas firewalls numa DMZ industrial permite satisfazer as necessidades bidirecionais de forma controlada, garantindo que o tráfego em ambas as direções termine na DMZ, através de portas de inspeção, controlos de quarentena e uma aplicação rigorosa das políticas. Os fluxos de trabalho bidirecionais devem limitar-se a casos de utilização justificados, tais como a entrega de atualizações de fornecedores, a exportação controlada de dados ou os artefactos de reconciliação necessários.

Os controlos de compensação devem ser documentados, incluindo listas de permissões rigorosas, portas fixas, identidades de serviço por fluxo e requisitos de aprovação. A documentação deve também incluir a recertificação periódica das regras do firewall, a fim de evitar a proliferação de regras.

A entrega de ficheiros por parte de fornecedores na OT através de uma DMZ deve seguir um fluxo de trabalho adequado aos fornecedores, que encerre o acesso destes na DMZ e imponha a inspeção, a quarentena, o acesso com limite de tempo e o registo de auditorias. Os fluxos de trabalho dos fornecedores devem impedir o acesso direto dos mesmos aos ativos da OT, mantendo simultaneamente os prazos de entrega previsíveis para o planeamento operacional.

A autenticação e a autorização devem ser limitadas a zonas de entrega específicas de cada fornecedor e a tipos de ficheiros específicos de cada fornecedor. A libertação para a DMZ deve exigir uma aprovação registada e deve fornecer uma confirmação de entrega na área de preparação da OT.

A autenticação de fornecedores sem contas partilhadas ou acesso permanente deve recorrer a identidades individuais de fornecedor, autenticação multifator sempre que possível e acesso com prazo de validade alinhado com as janelas de manutenção. As identidades dos fornecedores devem ser limitadas a zonas de transferência específicas e a políticas restritivas de tipos de ficheiros, a fim de reduzir a exposição.

O acesso deve limitar-se ao envio e à visualização do estado, em vez da recuperação direta de OT. O acesso do fornecedor deve também incluir a aplicação de políticas relativas aos destinos permitidos, de modo a que os pacotes do fornecedor não possam ser encaminhados para além dos locais de armazenamento temporário de OT aprovados.

Os ficheiros do fornecedor passam da quarentena para a libertação aprovada ao entrarem no armazenamento de quarentena da DMZ, sendo submetidos a uma verificação de malware, a uma limpeza quando necessário e a uma análise em sandbox quando se aplicam os critérios da política. A recuperação de OT só deve ser permitida após a aprovação da libertação e depois de a política ter marcado o pacote como aprovado.

A aprovação deve ser realizada por funções designadas com separação de funções, tais como revisores e responsáveis pela liberação. O registo de evidências deve incluir os resultados da inspeção, as medidas de higienização, os registos de data e hora e a identidade do aprovador.

As configurações incorretas na transferência de ficheiros na DMZ da OT criam riscos ao reintroduzir a conectividade entre zonas, enfraquecer os mecanismos de controlo ou comprometer a responsabilização pelas aprovações e pelo acesso. A prevenção de configurações incorretas requer padrões explícitos do que não se deve fazer, revisões periódicas e sinais de monitorização que detetem precocemente comportamentos de contorno.

Os padrões propensos a riscos incluem identidades partilhadas, expansão de partilhas em SMB, proliferacão de regras de firewall e etapas de cópia manual que contornam a quarentena. As normas devem traduzir os modos de falha em requisitos arquitetónicos e operacionais que possam ser aplicados.

As contas partilhadas e os passos de cópia manual comprometem a responsabilização, uma vez que as credenciais partilhadas eliminam a não repudiação e impedem uma atribuição fiável durante as investigações. Os passos de cópia manual também aumentam a probabilidade de que as etapas de verificação sejam ignoradas devido à pressão do tempo.

A separação de funções e as identidades individuais devem ser exigidas nas ações de envio, revisão, divulgação e recuperação. Os fluxos de trabalho automatizados com aprovações reduzem a dependência de práticas informais e geram registos consistentes que servem de base para auditorias e resposta a incidentes.

A proliferação de partilhas SMB e de regras de firewall cria vias invisíveis, uma vez que os padrões de acesso SMB tendem a expandir-se ao longo do tempo e as regras de firewall abrangentes tornam-se difíceis de auditar. As vias invisíveis comprometem o objetivo da segmentação, ao permitir oportunidades de movimento lateral não monitorizadas.

A fixação de serviços e as listas de permissão restritas reduzem a expansão acidental. A recertificação periódica das regras do firewall deve verificar se cada regra corresponde a um fluxo de trabalho aprovado e se as regras permanecem limitadas aos pontos de terminação da DMZ, em vez de permitirem o acesso de ponta a ponta.

Uma lista de verificação para o reforço da segurança da transferência de ficheiros na DMZ industrial padroniza as revisões da arquitetura, a integração de locais e a gestão de alterações, transformando os controlos da DMZ em itens de verificação repetíveis. Uma lista de verificação para o reforço da segurança da transferência de ficheiros na DMZ industrial deve estar em conformidade com a terminação da DMZ, os pontos de inspeção, os fluxos de trabalho de governação e os requisitos de evidência de auditoria.

A normalização baseada em listas de verificação reduz as divergências entre locais e melhora o alinhamento entre as partes interessadas em matéria de segurança. Os itens da lista de verificação devem ser redigidos como afirmações verificáveis, que possam ser testadas durante a implementação e recertificadas durante as revisões periódicas.

As verificações de reforço da segurança Firewall dos serviços para transferências terminadas na DMZ devem verificar as portas fixadas, as listas de permissão restritas, a ausência de sessões diretas entre TI e OT e a ausência de sistemas de ponte com ligação dupla. Os padrões de acesso administrativo também devem ser restringidos, de modo a que o acesso de gestão não crie canais ocultos para as redes OT.

A estratégia de aplicação de correções para os sistemas da DMZ deve estar em sintonia com os períodos de manutenção e deve dar prioridade à minimização da interrupção do serviço. A recertificação das regras deve confirmar que cada regra corresponde a um fluxo de trabalho documentado e que a terminação permanece na DMZ.

As verificações de reforço de inspeção e higienização para tipos de ficheiros de alto risco devem verificar a cobertura da análise múltipla, a cobertura da política de CDR, os gatilhos da sandbox, os limites de tratamento de arquivos e o comportamento de quarentena em caso de falhas e resultados desconhecidos. O tratamento de arquivos deve incluir limites de extração de arquivos aninhados e verificações de deteção do tipo de ficheiro real.

O tratamento de exceções deve exigir uma justificação documentada, aprovação explícita e a conservação de provas. As exceções devem também dar origem a revisões periódicas, a fim de evitar que as autorizações temporárias se transformem em vias de contorno permanentes.

Os requisitos da RFP para a transferência gerida de ficheiros entre redes de TI, OT e DMZ devem dar prioridade à aplicação de limites, à segurança de ficheiros em várias camadas, à governação centralizada e à auditabilidade em ambientes segmentados. A formulação da RFP deve manter-se centrada nos fluxos de trabalho, de modo a que os requisitos reflitam a terminação na DMZ, os pontos de inspeção, as aprovações e a recolha de provas, em vez de se limitarem apenas às funcionalidades de transporte.

Os requisitos do pedido de proposta devem também abranger a alta disponibilidade, operações fora de linha ou em redes com restrições, bem como a implementação consistente de políticas em todas as instalações. Os requisitos devem definir a forma como a plataforma aplica fluxos de trabalho do tipo «enviar para a DMZ e depois receber na OT» sem criar sessões entre zonas.

Os requisitos relativos a protocolos e conectores devem incluir os protocolos comuns necessários em ambientes empresariais e industriais, sem dar ênfase excessiva ao transporte. As expectativas de integração devem incluir o suporte ao comportamento de armazenamento e reenvio, bem como o suporte a redes com restrições ou desligadas.

Os requisitos do pedido de proposta devem especificar um comportamento previsível em caso de repetição de tentativas, transferências retomáveis para ficheiros de grande dimensão e controlos de largura de banda que respeitem as operações da fábrica. Os requisitos do conector devem também abordar o tratamento da identidade do serviço e a integração com sistemas de identidade, sempre que possível.

Os requisitos de orquestração de políticas devem especificar a definição de políticas por fluxo, os fluxos de trabalho de quarentena e libertação, o encaminhamento automatizado e a separação de funções. A orquestração de políticas deve incluir pontos de integração explícitos para a análise múltipla, CDR, sandboxing e aplicação de DLP no percurso de transferência.

Os requisitos do fluxo de trabalho de aprovação devem especificar aprovações em níveis e a automatização dos fluxos de baixo risco, com um tratamento de exceções devidamente documentado. Os requisitos devem também especificar os campos de evidência a registar em cada fase, para efeitos de auditoria e investigação.

Os requisitos de visibilidade e pista de auditoria devem especificar os requisitos relativos à geração de relatórios, aos campos de registo, aos controlos de retenção e à exportação para plataformas SIEM ou plataformas de registo centralizadas. Os requisitos de registo imutável devem especificar controlos de resistência à adulteração e controlos de acesso para a recuperação de provas.

Os requisitos de confirmação de entrega devem especificar a prova de que as encomendas aprovadas chegaram à área de preparação da OT e foram recolhidas por pessoas autorizadas. Os requisitos relativos às provas das encomendas devem especificar hash, registos de data e hora, resultados de inspeção, aprovações e identificadores de correlação.

Equipada com a tecnologia Metascan Multiscanning, Deep CDR™, Proactive DLP e sandboxing, MetaDefender Managed File Transfer MFT) é a solução de transferência de ficheiros gerida (MFT) OPSWATque reduz os riscos associados aos ficheiros através de um controlo centralizado da transferência de ficheiros entre TI e OT, mediada por uma DMZ industrial.